一.URL跳转篇: 1.原理:先来看这段代码: <?php if(isset($_GET["url_redircetion_target"])){ $url_redirected_target = $_GET["url_redircetion_target"]; echo "<script>alert(\"Pass To The Next URL\")</script><br><scrip…

一.CORS领域问题: 1.CORS的介绍请参考:跨域资源共享简介 2.HTML5中的XHR2级调用可以打开一个socket连接,发送HTTP请求,有趣的是,上传文件这里恰恰是multi-part/form-data恰恰符合要求,不需要preflight,所而且可以带cookie等认证信息.完美的绕过了所有的跨域共享防御机制. <script language=javascript type=text/javascript> functiongetMe() { varhttp; http=ne…

使用Autofac进行服务注册实践: 新建三个项目,分别是webapi项目 Wesky.Core.Autofac以及两个类库项目 Wesky.Core.Interface和Wesky.Core.Service. 在Webapi项目下,引用Autofac的三个包:Autofac.Autofac.Configuration和Autofac.Extensions.DependencyInjection . 在类库下,Interface用于编写Interface接口类:Service用于开发对应的接口实…

关于"番外特别篇" 所谓"番外特别篇",就是系列文章更新期间内,随机插入的一篇文章.目前我正在更新的系列文章是 实现iOS图片等资源文件的热更新化.但是,这两天,被一个自己App中诡异的相册读取的Bug困扰,暂时延缓了文章的更新进度.这个BUG,诡异而又有趣,既然花了10个小时才理清,不妨再投入1个小时,晒出来供大家鉴赏,品玩. Bug 的详细描述 诡异的画风 此Bug仅在操作多张高像素图片时才会触发,所谓高像素就是图片本身并不算大,但是图片宽高非常大的图片.这次触…

一.SQL盲注: 看不到回显的,无法从返回直接读取到数据库内容的对数据的猜解,属于盲注. 二.第一种--基于布尔类型的盲注: 这种很简单,最典型的例子,就是挖SQL注入的时候常用的: ''' http://www.localhost.com/sqlinjection?id=1'%20and%20'1'='1 http://www.localhost.com/sqlinjection?id=1'%20and%20'1'='2 ''' 实战时.前面一个判断是永真的时候,拼接一个判断,例如[subst…

背景: 在WEB安全的学习过程中,了解过了原理之后,就是学习各种Payload,这里面蕴藏着丰富的知识含量,是在基本上覆盖了漏洞原理之后的进一步深入学习的必经之路.无理是Burpsuite还是Sqlmap.Awvs亦或是其他工具,包括人工收工构造的Payload都有很高的记录和学习意义,一方面如上所说的提高对WEB安全的掌握和理解,另一方面也对WEB安全自动化测试做积累. 需求: 记录WEB安全各种报文payload的工具 开发语言: Python2.7 依赖第三方库: pypcap dpkt…

一.什么是XXE 1.XML实体简介 (1)在一段时间中,XML都是WEB信息传输的主要方法,时至今日XML在WEB中作为前后台之间传递数据的结构,依然发挥着重要的作用.在XML中有一种结构叫做实体: (2)一般其定义的标签关键字ENTITY,分为如下两种: 一般实体<!ENTITY entity_name "entity_text"> 引用实体&name 参数实体!ENTITY % entity_name "entity_text"> 引…

一.通配符简介: 一般来讲,通配符包含*和?,都是英文符号,*用来匹配任意个任意字符,?用来匹配一个任意字符. 举个例子使用通配符查看文件,可以很名下看到打卡的文件是/etc/resolv.conf: └─[$]> /???/r????v.c??f # # macOS Notice # # This file is not consulted for DNS hostname resolution, address # resolution, or the DNS query routing m…

一 Djangao入门 当今的网站实际上都是富应用程序(rich application),就像成熟的桌面应用程序一样.Python提供了一组开发Web应用程序的卓越工具.在本章中,你将学习如何使用Django(http://djangoproject.com/)来开发一个名为"学习笔记"(Learning Log)的项目,这是一个在线日志系统,让你能够记录所学习的有关特定主题的知识.我们将为这个项目制定规范,然后为应用程序使用的数据定义模型.我们将使用Django的管理系统来输入一些…

一.基础小知识点 1.如果一行代码过长,可以用续行符 \换行书写 例子 if (signal == "red") and \ (car == "moving"): car = "stop" else : pass 等同于 if (signal == "red") and (car == "moving"): car = "stop" else : pass 2.无需换行符的情况 两种情况…